Archives des cnil - Lexing Alain Bensoussan Avocats

Actualités, Articles, Données publiques, Publication

La Cnil, autorité compétente pour l’altruisme en matière de données

Thomas Cantoni / 10/07/2024

Les organisations altruistes en matière de données sont désormais sous le contrôle de la Cnil. La loi « SREN » (1) désigne la Commission nationale de l’informatique et des libertés (Cnil) comme l’autorité compétente pour l’altruisme en matière de données, au sens de l’article 23 du DGA ou « Data Governance Act » (2). Lire la suite L’objet du Data Governance Act : La Cnil, autorité compétente pour l’altruisme en matière de données Le Data Governance Act met en place un cadre général pour faciliter le partage des données au sein de l’Union européenne. Le but est de garantir à la fois l’accès à de grands volumes de données au profit de l’économie européenne et un contrôle sur les données propre à renforcer la souveraineté numérique au sein de l’Union européenne. Il s’inscrit, avec le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (dit « Data Act »), dans le cadre de la stratégie européenne pour les données. Dans ce but, le Data Governance Act établit : • les conditions de réutilisation, au sein de l’Union, de certaines catégories de données détenues par des organismes du secteur public ; • un cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données ; • un cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes ; • un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données. L’altruisme : favoriser le partage des données au sein de l’UE La Cnil, autorité compétente pour l’altruisme en matière de données L’article 2, paragraphe 16 du Data Governance Act définit l’altruisme en matière de données comme « le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national […] ». Ces objectifs d’intérêt général concernent notamment les soins de santé, la lutte contre le changement climatique ou l’amélioration de la prestation de services publics. Les organisations altruistes en matière de données La Cnil, autorité compétente pour l’altruisme en matière de données Les dispositions du chapitre IV « Altruisme en matière de données » du Data Governance Act prévoient que des entités peuvent être enregistrées par l’autorité compétente de l’État membre dont elles dépendent comme « organisations altruistes en matière de données » au sein d’un registre public national. Ces organisations doivent satisfaire aux critères suivants : • mener des activités altruistes en matière de données ; • être une personne morale constituée en vertu du droit national pour poursuivre des objectifs d’intérêt général prévus dans le droit national, le cas échéant ; • exercer ses activités dans un but non lucratif et être juridiquement indépendante de toute entité exerçant des activités dans un but lucratif ; • se conformer, au plus tard 18 mois après la date d’entrée en vigueur des actes délégués complétant le Data Governance Act, à un recueil de règles qui sera établi pour fixer les exigences en matière d’information des personnes concernées et de sécurité des données, ainsi que des feuilles de route en matière de sensibilisation à l’altruisme en matière de données et des recommandations sur les normes d’interopérabilité. EXIGENCES DE TRANSPARENCE La Cnil, autorité compétente pour l’altruisme en matière de données Ces organisations sont soumises à des exigences de transparence, dont la tenue d’un registre des traitements des données détenues mis en œuvre par des personnes physiques ou morales. Elles doivent également remettre un rapport annuel d’activité à l’autorité compétente nationale. Ces organisations doivent informer les personnes ou détenteurs de données concernés des caractéristiques des traitements susvisés et leur donner les moyens et outils nécessaires pour leur permettre de donner leur consentement ou autorisation. Ces données ne peuvent être traitées que pour les objectifs autorisés d’intérêt général. Les organisations doivent également assurer un niveau de sécurité approprié des données et informer les détenteurs de données des transferts, accès ou utilisations illicites portant sur les données personnelles qu’elles ont partagées. La Cnil autorité compétente des organisations altruistes La Cnil, autorité compétente pour l’altruisme en matière de données L’article 23 du Data Governance Act prévoit que chaque Etat membre doit désigner une ou plusieurs autorités compétentes responsables de son registre public national des organisations altruistes en matière de données reconnues et en notifier la Commission européenne. Ces autorités compétentes ont notamment pour mission l’enregistrement des organisations altruistes en matière de données et la tenue ainsi que la mise à jour du registre public national de ces organisations. Elles doivent contrôler et surveiller le respect par les organisations altruistes en matière de données reconnues des exigences énoncées dans le chapitre IV du Data Governance Act. Les prochaines étapes La Cnil, autorité compétente pour l’altruisme en matière de données Concernant la France, l’article 57 de la loi SREN a ajouté à la « Loi Informatique et libertés » (4) un nouveau titre IV bis composé de 3 articles (124-1, 124-2 et 124-3) qui disposent que : • la Cnil est l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données, ainsi que la tenue et la mise à jour du registre public national ; • elle traite à ce titre les demandes d’enregistrement formées par les organisations candidates : • elle reçoit et instruit toute réclamation formée par des personnes physiques et morales ayant consenti au traitement des données personnelles les concernant ou ayant autorisé le traitement des données non personnelles qu’elles détiennent. Un décret en Conseil d’Etat doit encore préciser les modalités de la procédure d’enregistrement. D’ores-et-déjà, la Cnil met à la disposition des organisations candidates une adresse électronique dédiée pour répondre à leurs questions (dga@cnil.fr). Elle annonce également qu’elle va progressivement enrichir son site

Actualités, Articles, Informatique et libertés, Publication, Sécurité

Guide de la sécurité des données personnelles de 2024

Raphaël Liotier / 03/05/2024

La Cnil a publié son Guide de la sécurité des données personnelles de 2024 afin de rappeler les précautions de sécurité à mettre en œuvre. Lire la suite Contenu du Guide de la sécurité des données personnelles de 2024 Guide de la sécurité des données personnelles de 2024 L’objectif du guide est d’aider les organismes à assurer la sécurité des données personnelles qu’ils traitent. L’obligation de sécurité en matière de données personnelles existe depuis la loi informatique et libertés de 1978. L’adoption du Règlement général sur la protection des données (RGPD) a renforcé cette obligation. En effet, l’article 32 énonce que : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le Guide de la sécurité des données personnelles de 2024 va rappeler les précautions élémentaires à mettre en œuvre. Il va également introduire des mesures plus avancées visant à renforcer davantage la protection des données. La Cnil intègre au guide des recommandations d’autres autorités telles que l’ANSSI et le CEPD. En comparaison avec son édition de 2023, la Cnil a introduit cinq nouvelles fiches thématiques : • Fiche 1 : Piloter la sécurité des données ; • Fiche 22 : Cloud : Informatique en nuage ; • Fiche 23 : Applications mobiles : Conception et développement ; • Fiche 24 : Intelligence artificielle : Conception et apprentissage ; • Fiche 25 : API : interface de programmation applicative. La Cnil a également ajouté des modifications aux fiches existantes afin de les adapter aux évolutions des menaces et connaissances. Elle va notamment s’intéresser à l’utilisation des équipements personnels en environnement professionnel (BYOD). Piloter la sécurité des données Guide de la sécurité des données personnelles de 2024 La Cnil place le pilotage de la sécurité des données au premier plan. Le guide énonce dans un premier temps que l’implication de la direction dans la sécurité des données personnels est nécessaire. De plus, un plan d’action relatif à la sécurité informatique et des mesures techniques et organisationnelles sont nécessaires. Le guide met l’accent sur la périodicité du contrôle de l’effectivité de ces mesures. La Cnil insiste en effet sur le fait que la sécurité des données personnelles n’est pas un problème accessoire. Elle s’accompagne d’un plan d’action à long terme. Cloud : informatique en nuage Guide de la sécurité des données personnelles de 2024 La Cnil énonce que la sécurité des données incombe aux fournisseurs de service cloud. Ils doivent mettre en place des garanties suffisantes pour la mise en œuvre des mesures de sécurité. Néanmoins, le guide rappelle que la sécurité des données appartient également au client. Il lui incombe en effet d’évaluer et de vérifier le niveau de sécurité du fournisseur et ses éventuels prestataires. Ainsi des précautions sont nécessaires, tel que : Chiffrer les données ; Porter attention aux accès et autorisations ; Authentifier les utilisateurs ; Réaliser des sauvegardes. La conception et le développement d’application mobile Guide de la sécurité des données personnelles de 2024 La Cnil rappelle que les applications mobiles impliquent le traitement de nombreuses données personnelles. Ainsi, pèsent sur les éditeurs une obligation de sécurisation des traitements et de transparence envers les utilisateurs. Ils doivent notamment respecter le principe de minimisation des données. Ce dernier limite le traitement de données personnelles à ce qui est nécessaire au fonctionnement de l’application. Les précautions élémentaires comprennent notamment la sécurisation des communications et le stockage des secrets cryptographiques. Le client doit quant à lui prendre en compte que le système d’exploitation puisse effectuer la sauvegarde automatique des données personnelles. Ainsi, il choisira de désactiver ces sauvegardes ou de chiffrer ses données. Intelligence artificielle : conception et apprentissage Guide de la sécurité des données personnelles de 2024 Le principal enjeu du développement de l’intelligence artificielle réside autours du volume important de données d’entrainement des systèmes. Il rend nécessaire la prise de mesures de sécurité spécifiques. La Cnil préconise ainsi de vérifier la qualité des données et des annotations, la présence de biais et la fiabilité des sources de sonnées. Il convient également d’éviter les copies, partielles ou totales des bases de données. Il est souhaitable d’en restreindre l’accès et l’utilisation aux seules personnes habilitées. API : interface de programmation applicative Guide de la sécurité des données personnelles de 2024 La Cnil vient insérer une fiche sur les API. En effet, la Cnil rappelle qu’elles constituent une bonne pratique car elles permettent de fiabiliser, minimiser et sécuriser les échanges. Néanmoins, elle énonce par la suite la nécessité de limiter le partage aux données strictement nécessaires. Elle recommande également de ne plus conserver actives d’anciennes versions d’API. Ces dernières sont en effet susceptibles de ne plus répondre au niveau de sécurité attendue. La mise à jour des recommandations existantes Guide de la sécurité des données personnelles de 2024 Outre l’introduction de nouvelles fiches, la Cnil met à jour ses recommandations existantes. Le Guide de la sécurité des données personnelles de 2024 insiste sur la sensibilisation des utilisateurs. Le guide recommande en effet de mettre en place des exercices et des simulations d’incidents de sécurité information. Le but est de vérifier la bonne mise en œuvre des consignes et la pertinence des procédures internes. La Cnil va également enrichir son guide avec l’introduction de recommandations concernant les pratiques de « bring your own device » ou BYOD. Elle préconise de ne l’autoriser qu’en fonction des risques identifiés. Un système de gestion des appareils mobiles (MDM) doit permettre de maitriser le niveau de sécurité des appareils se connectant à un réseau. Concernant la protection du réseau informatique, la Cnil conseille de cloisonner le réseau afin de réduire l’impact en cas de compromission. Pour administrer les équipements de réseaux la Cnil préconise de choisir un protocole SSH ou un accès direct. Pour la sécurisation des sites web, la Cnil recommande de sécuriser les flux d’échanges de données par l’utilisation de TLS (transport layer security). Ce guide s’adresse aussi bien aux délégués à la protection des

Actualités, Articles, Contentieux informatique, Publication

Tables Informatique et Libertés : point sur la conservation des données

Marion Catier / 23/02/2024

La conservation des données à caractère personnel est encadrée par le RGPD. Les données à caractère personnel ne peuvent pas être conservées indéfiniment :

Articles, Publication, Sécurité des SI

La gestion des mots de passe : un problème de sécurité trop récurrent

Anthony Sitbon / 19/01/2024

Quand on examine les dernières sanctions de la Cnil en termes de sécurité, on constate que le problème des mots de passe revient régulièrement.

Apprendre à qualifier les acteurs de la protection des données

Articles

Premières sanctions prises dans le cadre d’une procédure simplifiée de la Cnil

Lexing / 04/04/2023

Les premières sanctions prises dans le cadre d’une procédure simplifiée de la Cnil commencent à tomber depuis la réforme initiée début 2022.

Articles, Page ELE, Publication, Santé

Le nouveau référentiel adopté par la Cnil pour les pharmacies d’officine

Isabelle Chivoret / 14/02/2023

La Cnil a adopté un nouveau référentiel pour accompagner les pharmacies d’officine dans leurs démarches de mise en conformité RGPD.

Articles, Contentieux informatique, Informatique et libertés, Publication, RGPD, Secteur communication électronique

Pluie de sanctions sur les cookies publicitaires et le recueil du consentement

Lexing / 30/01/2023

Le 19 décembre 2022, la formation restreinte de la Cnil a rendu une nouvelle décision de condamnation pour non-respect de la législation Informatique et libertés, s’agissant du recueil du consentement de l’internaute au dépôt de cookies.

Actualités, Informatique et libertés, Réglementation, RGPD

Le RGPD : Bilan 2021 et tendances 2025

Isabelle Pottier / 12/09/2022

Il est encore temps de vous inscrire au webinaire de la journée du mardi 20 septembre 2022, « Le RGPD : Bilan 2021 et tendances 2025 » organisée par l‘Association des Data Protection Officers (ADPO) en partenariat avec le cabinet Lexing Alain Bensoussan Avocats.

Actualités, Articles, Marchés publics, Publication

Commande publique : la Cnil se penche sur la responsabilité des acteurs

Lexing / 28/06/2022

La Cnil a publié un guide intitulé « la responsabilité des acteurs dans le cadre de la commande publique ».

Actualités, Articles, Informatique et libertés, Publication

L’accompagnement par la Cnil de 10 projets innovants

Lexing / 02/06/2022

La Cnil accompagnera en 2022 cinq projets innovants dans le domaine de l’éducation et cinq autres projets présentant un intérêt fort pour la protection des données.

Actualités, Evénement, Réglementation, Revue de presse, RGPD

Au nom de la loi: le droit des cookies

Alain Bensoussan / 17/05/2022

Le droit des cookies est le thème abordé par Alain Bensoussan dans sa dernière chronique pour l’émission « Au nom de la loi » diffusée par la web TV ANews Sécurité.

Actualités, Articles, Informatique et libertés, Publication, RGPD

Le plan de la Cnil pour une société numérique de confiance

Virginie Bensoussan-Brulé / 04/03/2022

La Cnil présente ses projets pour une société numérique de confiance dans son plan stratégique pour 2022-2024.

Actualités, Articles, Cnil : organisation et pouvoirs, Informatique et libertés, Publication, RGPD

Publication du rapport d’activité de la Cnil 2020

Céline Avignon / 22/06/2021

La Cnil a publié son rapport d’activité pour l’année 2020 intitulé « Ensemble voyons le numérique autrement ». Ce rapport annuel fait office de bilan de l’application du RGPD trois ans après son entrée en vigueur.

Actualités, Articles, GDPR, Informatique et libertés, Informatique et libertés Contentieux, Publication, RGPD

Cookies : premières mises en demeure de la Cnil

Céline Avignon / 28/05/2021

La Cnil vient d’annoncer les premières mises en demeure : elles concernent une vingtaine d’organismes.

Actualités, Articles, GDPR, Informatique et libertés, Publication, RGPD

La Cnil restreint encore la traçabilité par cookies

Frédéric Forster / 20/04/2021

La Cnil restreint encore la traçabilité par cookies, est le thème de la chronique mensuelle de Frédéric Forster dans le magazine EDI (l’Essentiel de la Distribution Informatique) de mars 2021.

Actualités, Articles, Cnil : organisation et pouvoirs, Informatique et libertés, Publication

Focus sur les contrôles sur audition par la Cnil

Virginie Bensoussan-Brulé / 08/02/2021

Les contrôles sur audition sont l’une des formes de contrôle que peut exercer la Cnil avec les contrôles sur place, en ligne et sur pièces.

Actualités, Articles, Cnil : organisation et pouvoirs, Informatique et libertés, Publication, RGPD

Comment se déroulent les contrôles de la Cnil ?

Virginie Bensoussan-Brulé / 02/12/2020

Les contrôles de la Cnil peuvent être effectués auprès de tout organisme public ou privé traitant des données personnelles.

Actualités, Informatique et libertés, Secteur marketing direct

Cookies et autres traceurs : annulation partielle des lignes directrices de la Cnil

Emmanuel Walle / 07/08/2020

Le Conseil d’État a annulé partiellement les lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion dans une décision du 19 juin 2020 [1].

Actualités, Cnil : organisation et pouvoirs, Evénement, GDPR, Informatique et libertés, Revue de presse, RGPD

La Cnil publie son rapport annuel pour 2019

Eric Bonnet / 10/06/2020

Sur le thème « La Cnil alliée de confiance du quotidien numérique », l’autorité chargée de la protection des données personnelles a rendu public le 9 juin 2020 son rapport annuel pour 2019.

Actualités, Informatique et libertés, Médias, RGPD

Municipales 2020 : une plateforme de signalement

Alain Bensoussan / 17/01/2020

Pour le bon déroulement des municipales 2020, la Cnil a lancé en décembre 2019 une plateforme de signalement à disposition des citoyens.

Actualités, Articles, Droits des personnes, GDPR, Propriété intellectuelle, Publication, RGPD

La Cnil lance une plateforme Données & design RGPD

Virginie Brunot / 15/11/2019

Le Laboratoire d’innovation de la Cnil lance la plateforme Données & Design faisant le lien entre design interactif et RGPD.

Actualités, Biométrie, Informatique et libertés

La Cnil s’oppose à la reconnaissance faciale aux abords des lycées

Isabelle Pottier / 30/10/2019

La Cnil considère que la reconnaissance faciale pour sécuriser et fluidifier l’entrée dans les lycées n’est ni adaptée ni

Actualités, Cnil : organisation et pouvoirs, Informatique et libertés, RGPD

Présentation du bilan d’activité 2018 et des enjeux 2019 de la Cnil

Eric Bonnet / 16/04/2019

La Cnil a rendu public le 15 avril 2019 son bilan d’activité pour l’année 2018, qui restera marquée par l’entrée en application du RGPD.

Articles, GDPR, Publication, RGPD

Nouveau protocole de coopération entre la Cnil et la DGCCRF

Lexing / 28/03/2019

La Cnil et la DGCCRF signent un nouveau protocole de coopération afin d’adapter leur collaboration aux nouveaux enjeux

Cookie	Durée	Description
cookielawinfo-checkbox-functional	12 mois	Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels
cookielawinfo-checkbox-necessary	12 mois	Gestion de l'affichage du bandeau d'information.
CookieLawInfoConsent	12 mois	Enregistrement de l'absence d'affichage du bandeau.
viewed_cookie_policy	12 mois	Enregistrement de l’ouverture de la politique cookies.

cnil